Microsoft haalt uit naar onderzoekers die 'verkeerd' kwetsbaarheden melden

Microsoft haalt uit naar beveiligingsonderzoekers en hackers die niet op de juiste manier kwetsbaarheden bij het bedrijf melden. Recente kritieke kwetsbaarheden in Windows werden volgens de techgigant niet volgens het responsible disclosure-principe gemeld. Mogelijk is de uitlating van het bedrijf een reactie op een recent incident met een hacker.

Volgens Microsoft zijn de recente kritieke kwetsbaarheden RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma, and MiniPlasma niet op basis van het responsible disclosureprincipe gemeld. "We zijn sterk tegen deze acties en alle meldingen van kwetsbaarheden zonder de juiste coördinatie kunnen onze klanten en het digitale ecosysteem schaden."

Wat is responsible disclosure?

Responsible disclosure is een principe uit de cyberbeveiliging waarbij kwetsbaarheden eerst achter de schermen met de verantwoordelijke organisatie gedeeld worden. Het idee is dat zij hierdoor de tijd krijgen om het probleem op te lossen, voordat het publiekelijk bekend wordt. Er is geen vaste tijd die een organisatie hiervoor zou moeten krijgen.

Wanneer kwetsbaarheden meteen geopenbaard worden, kunnen kwaadwillende hackers de nog niet opgeloste kwetsbaarheid uitbuiten. Dit dwingt de verantwoordelijke partij om direct actie te ondernemen, maar kan dus ook voor onnodig veel slachtoffers zorgen.

Persoonlijke vete

De drie kwetsbaarheden die Microsoft als eerste noemt, werden allemaal geopenbaard door een anonieme beveiligingsonderzoeker die zichzelf Nightmare-Eclipse noemt. Deze persoon werd volgens Cyber Security News onlangs op GitHub en GitLab geblokkeerd. De hacker heeft ogenschijnlijk persoonlijke wrok tegen Microsoft en publiceert daarom zonder vroegtijdige vermelding proof-of-concepttools om de kwetsbaarheden in Windows Defender te misbruiken.

Het bedrijf dreigt in de blogpost zelfs met juridische stappen, mogelijk gericht naar Nightmare-Eclipse. De Digital Crimes Unit van het bedrijf zou zaken aanspannen tegen mensen die kwetsbaarheden op de verkeerde manier openbaren.

De verhouding tussen het beveiligingsplatform Microsoft Security Response Center en beveiligingsonderzoekers komt daarmee op gespannen voet te staan. Het MSRC is bedoeld om met onderzoekers samen te werken om kwetsbaarheden op te sporen en verhelpen. Hackers kunnen hiervoor gecompenseerd worden, al is er regelmatig discussie over de werking van deze programma's, bijvoorbeeld als kwetsbaarheden niet op tijd opgelost worden of onderzoekers niet erkend worden.

Microsoft Security
Bron: Microsoft

Door Yannick Spinner

Redacteur

Feedback • 28-05-2026 21:27
135 • submitter: Anonymoussaurus

28-05-2026 • 21:27

135

Submitter: Anonymoussaurus

Lees meer

Microsoft brengt update uit die Windows 11 sneller moet maken
Microsoft brengt update uit die Windows 11 sneller moet maken Nieuws van 27 mei 2026
Microsoft Defender kan automatisch gehackte apparaten isoleren
Microsoft Defender kan automatisch gehackte apparaten isoleren Nieuws van 26 mei 2026
Opnieuw wordt een Copilot-functie minder zichtbaar in Office-software
Opnieuw wordt een Copilot-functie minder zichtbaar in Office-software Nieuws van 22 mei 2026
'Microsoft deelt namen van Nederlandse ambtenaren die werken aan DSA met VS'
'Microsoft deelt namen van Nederlandse ambtenaren die werken aan DSA met VS' Nieuws van 22 mei 2026
Microsoft brengt nieuwe Surface-laptops en -tablet eerst uit met Intel-cpu's
Microsoft brengt nieuwe Surface-laptops en -tablet eerst uit met Intel-cpu's Nieuws van 19 mei 2026
Meer producten en artikelen
Beveiliging en antivirus Microsoft Hackers Responsible disclosure

Reacties (135)

-Moderatie-faq
135
123
76
4
0
22
Wijzig sortering

Sorteer op:

Weergave:
Darses 28 mei 2026 23:15
Wie de geschiedenis kent weet dat dit geen draai is. Al 25 jaar geleden heeft Microsoft dit standpunt uitgedragen in de blogpost It’s Time to End Information Anarchy.

In de afgelopen decennia is duidelijk geworden dat er toch ook een stok achter de deur moet zijn die leveranciers dwingt om samen te werken met security onderzoekers en om kwetsbaarheid tijdig op te lossen. Bovendien ontstaan bij lange embargo periodes de illusie dat informatie over kwetsbaarheden geheim blijven en niet ontdekt kunnen worden door meerdere partijen.

Het herhalen van Microsoft's eigen coordinated vulnerability disclosure standpunt en dit presenteren als een "industrie standaard" suggereert dat het weinig geleerd heeft van de geschiedenis. Zo bekeken zijn die full disclosures toch weer een verdomd goed idee om grote leveranciers weer te laten realiseren dat ze vooral moeten samenwerken met onderzoekers, in plaats van drempels moeten opwerpen om kwetsbaarheden te melden.
Reageer
Ulysses @Darses29 mei 2026 05:40
Juist. Niet lullen maar patchen.
Reageer
Blokker_1999
@Darses29 mei 2026 06:59
Alleen weten we dus niet wat er aan de hand is. Nightmare-Eclipse zegt niets en de kans bestaat dat Microsoft zelfs niet weet wie het is. Elk verhaal heeft 2 kanten en hier hebben we zelfs niet 1 kant gehoord, alleen wat vage woorden over hij deze persoon denkt dat Microsoft hem mishandeld heeft zonder te zeggen waarom.

Dan kan je veel staan roepen over Microsoft, maar Nightmare-Eclipse gaat daarbij evenzeer in de fout. Jij spreekt van drempels opwerpen, maar waar werpt Microsoft drempels op? Wie zegt dat deze persoon niet gewoon kwaad is omdat MS een bug anders klasseert dan deze persoon gewenst had en daardoor minder tot niets uitbetaald, of dat deze persoon mogelijks in een land woont waarnaar MS geen geld kan of mag sturen bijvoorbeeld.

We weten het niet. En zonder meer details kunnen we daar ook geen uitspraken over doen.
Reageer
kdekker @Darses29 mei 2026 09:26
Het gaat onder de streep - vermoe dik - over macht. En als er rancune in het spel is bij bijv. de reporter, dan is er dus ook een andere (kwalijke) kant, net zoals mogelijk is dat een bedrijf kwalijk, inadequaat, te traag, whatever kan handelen. Al is voor een buitenstaander (de reporter) lang niet altijd de impact te bepalen voor een bedrijf. Het voelt dan wel unfair aan dat dreiging tot publicatie als machtmiddel gebruikt wordt. De vraag is dan toch wel: hoe edel zijn de motieven van de reporter.

En ja, daar moet dan een balans in zijn. Een megagroot bedrijf reageert nu niet hetzelfde qua snelheid als 1 persoon of een klein groepje die fouten rapporteert. Wederzijds begrip + goede intenties zijn noodzakelijk. Van beide kanten. Kwaadwillende reporters en bewust trainerende bedrijven zijn dat niet. Maar daartussen is een groot gebied. Ons 21e eeuw gedrag dat iets nu, onmiddelijk gefixed moet worden helpt hier niet bij. Ik weet niet wat hier een goede balans is tussen druk, dwang, publieke schandpaal (of erger).
Reageer
GewoonWaarom @Darses29 mei 2026 08:18
Die stok zou iso27001 moeten zijn.
Reageer
whitefox @GewoonWaarom29 mei 2026 22:55
Dat is onzin. Het enige wat ISO 27001 zou voorschrijven is om er een procedure aan te hangen en die te volgen. Maar je bent er vrij in om die procedure zelf te bepalen en om eventueel uitzonderingssituaties in te bakken. Met een goede risicobeoordeling zit je dan eigenlijk helemaal goed.
Reageer
Henk Poley @Darses29 mei 2026 09:46
en niet ontdekt kunnen worden door meerdere partijen.
Wacht achtergrond informatie hierbij, vanuit Linux hebben ze expliciet gezegd dat recent regelmatig hetzelfde issue door meerdere mensen wordt gemeld. Met de huidige LLMs is dit al bijna achterhaald; het is nog niet dat alle issues door meerdere mensen worden gevonden.
Reageer
dasiro 28 mei 2026 22:07
zijn laatste waarschuwing enkele dagen geleden op z'n blog:
So let me get this straight, when I actively asked you to communicate with me, you refused, humiliated me and made sure to insult me in front of people.

You defame me in public with your CVE-2026-45585 advisory even though you literally deleted the Microsoft account I used to report bugs to you with and I got zero pennies from doing so and I still happily did like an idiot.

Now you take the courtesy to flag my github account and wipe it out of the public, just like that ? You are proving to everyone that you actively escalating this conflict but I'm done begging you.

I might sound like crazy idiot who is whinning around but I have proof for every single word I said, I just can't release it yet. Why ? Microsoft still has chains in my hands, it's been like this for years and I just can't stay silent anymore. I hope I can release the documents soon.


Mark this date July 14th, I will make sure your bones are shattered that day. Nothing will be released this June (or maybe I will release smtg, depending on circumstances).


Also,

CVE-2026-45498 is UnDefend

CVE-2026-41091 is RedSun
woensdag dan een verontrustende post over z'n privé:
 Unsigned message because not important but tomorrow will be one of the hardest days in my life.

Wish me luck.
en vandaag enkel een cryptische afbeelding
Reageer
HooksForFeet @dasiro28 mei 2026 23:30
Vagueposting is eigenlijk altijd alleen maar irritant. Als er echt iets was had hij het wel gewoon gezegd.
Reageer
CodeAsm @HooksForFeet29 mei 2026 00:02
Als je je had verdiept in de zaak, wost je dat deze cve best serieus zijn en ik erg beneiuwd ben naar wat er nu mis gong tussen deze onderzoeker en Ms. Mogelijk cultuur verschillen of Microsoft die geen geld naar bepaalde landen wil sturen?

Brodie en andere youtubers hebben er best goede verhalen over verteld.
Reageer
Blokker_1999
@CodeAsm29 mei 2026 06:52
Ik vermoed dat HooksForFeet het vooral heeft over het feit dat Nightmare-Eclipse niets concreet zegt over waarom hij dit doet. Het is heel de tijd in vage bewoordingen, en het is dat wat heel dit verhaal zo irritant maakt.
Reageer
MischaBoender @dasiro29 mei 2026 09:17
Mijn eerste gedachte was dat SandboxEscaper weer terug was. Die dropte ook gewoon 0-days alsof het niets was en heeft meer recent wat anti-MS uitlatingen gedaan. Maar die lijkt het in ieder geval niet te zijn.
Reageer
MallePietje 29 mei 2026 00:56
"Volgens Microsoft zijn de recente kritieke kwetsbaarheden ... niet op basis van het responsible disclosureprincipe gemeld. "

En

"Het bedrijf dreigt in de blogpost zelfs met juridische stappen,"

Als ik even doorklik op hun eigen links, kom ik bij https://www.sei.cmu.edu/documents/1945/2017_003_001_503340.pdf over responsible disclosure.

Paragraaf 6.9.2 zegt:

"Whatever the issue is in the context of a vulnerability disclosure, lawyers alone are rarely the right answer. Cease-and-desist letters tend to backfire as described in Section 6.8.1. Responding with legal threats can have negative public relations effects in the long term for vendors as well:

• It gives the appearance that the vendor is more concerned about protecting its image than users’ security.

• It can give the impression that the organization is bullying an individual.

• It can drive future researchers away from reporting the vulnerabilities they find."

Het lijkt erop dat ms dit responsible disclosureprincipe zelf niet volgt. En het lijkt er op dat het precies de negatieve gevolgen heeft voor ms zoals beschreven. Goed bezig ms...
Reageer
NoTechSupport @MallePietje29 mei 2026 09:13
  1. Niets is absoluut. Dit wilt niet zeggen dat je nooit juridische stappen moet nemen. Alleen dat het een kost heeft.
  2. Hoe dit verhaal zich ontwikkeld heeft is relevant. Alleen MS en de hacker weten het fijne. Persoonlijk denk ik niet dat een machtig bedrijf als MS lief is, om te beginnen zijn ze afhankelijk van de huidige regering en de geheime diensten in de VS. Daarnaast zijn hackers vaak mannetjes met een groot ego die weinig nodig hebben om zich druk te maken. We zullen zien hoe groot de bijval is die deze hacker krijgt.
Reageer
svennd @NoTechSupport29 mei 2026 09:30
Daarnaast zijn hackers vaak mannetjes met een groot ego die weinig nodig hebben om zich druk te maken. We zullen zien hoe groot de bijval is die deze hacker krijgt.
Moedig op een forum vol 'hackers'. Ik zie een bedrijf die niet omkan met het gedrocht van software drollen die ze maken, verschillende departementen die elkaar tegenspreken en een disclosure process die niet efficient werkt. Mijn vermoeden is dat mensen die naar MS stappen met hun bevindingen voornamelijk uit zijn op erkenning en in mindere mate op financieel, want dat kan beter in grijze/black circuits.
Reageer
latka 28 mei 2026 21:34
Beetje vreemde gang van zaken: Microsoft maakt fouten en als je het dan niet via de juiste weg meld krijg je een strafzaak. Waarom wordt ms niet vervolgd voor het leveren van defecte software met bugs?
Reageer
GertMenkel
@latka28 mei 2026 21:50
Het bezitten van hacksoftware is illegaal en responsible disclosure is meer een manier om de rechter te overtuigen dat je goede bedoelingen hebt dan een manier om rechtzaken te voorkomen. Reverse engineeren mag niet van de voorwaarden van Windows en hacken is meestal "illegaal tenzij".

Een beetje normaal bedrijf start hierom geen rechtzaken, maar als je Microsoft in de verlegenheid brengt door dingen die wel heel erg op backdoors lijken naar buiten te brengen, lokt dat wel het een en ander uit.

Microsoft heeft nu wel wat uit te leggen, dat ze nu gaan intimideren doet mij denken dat ze iets vrezen dat nog groter is dan de eerdere exploits.
Reageer
HakanX @GertMenkel28 mei 2026 22:23
Het bezitten van hacksoftware is illegaal
Wat is hacksoftware? Ik heb het meest gehackt met Microsoft Windows en Telnet. Is iedereen die die duo heeft in overtreding?
Reageer
jpsch @HakanX28 mei 2026 23:16
Elke auto kan natuurlijk een vluchtauto worden bij een overval. Net zoals elke software gebruikt kan worden om te hacken.
Reageer
wiseger @GertMenkel28 mei 2026 22:06
Ze vrezen de doorbraak van AI. Alle bedrijven doen dat momenteel. Niet voor niets kwam de Nederlandse bank met een waarschuwing dat ze zich grote zorgen maken.
Reageer
batjes
@GertMenkel28 mei 2026 22:35
Het bezitten van hacksoftware is illegaal
Dat is niet illegaal. Tenminste niet in Nederland.

De voorwaarden van Windows mogen zoveel zeggen, ze gaan niet boven de wet. Software leunt op de auteurswet. Auteurswet staat het toe dat je je aangekochte werk mag aanpassen naar wens.

Je eigen software hacken is weinig anders dan notities maken in een boek, woorden wegstrepen of je eigen verhaal er tussen proppen. Mag allemaal.
Reageer
GertMenkel
@batjes29 mei 2026 08:53
Het voor handen hebben van malware is illegaal, het inzetten ervan is strafbezwarend, vindt in elk geval de "Richtlijn voor strafvordering cybercrime".

Nu is het in de praktijk natuurlijk niet zo dat de politie je magisch vindt omdat je malware hebt gemaakt of gedownloaded, maar dit lijkt me desondanks een prima argument voor Microsoft's advocaten om te gebruiken.
Reageer
THETCR @GertMenkel28 mei 2026 23:20
Het bezitten van is niet illegaal.

Reverse engineering en zogenaamd "hacken" is ook niet illegaal.

Voor educatieve doeleinden is bijvoorbeeld een reden waardoor je dit soort zaken altijd mag doen.

Als hij duidelijk een disclaimer geeft dat hij niet wil dat je er misbruik van maakt is dat meestal afdoende.
Reageer
divvid @GertMenkel29 mei 2026 07:52
dus kali is illegaal???? Succes zou ik zeggen. Een breekijzer is ook niet illegaal, totdat er een deur die niet van jou is mee geforceerd wordt.
Reageer
Remzi1993 @GertMenkel28 mei 2026 23:46
Het bezitten van hacksoftware is illegaal
Nee, dat is het niet. Pas als je het misbruikt dan is het illegaal. Genoeg projecten op GitHub te vinden die hack tools zijn met "educatieve doeleinden" of iets dergelijks.
Reageer
GertMenkel
@Remzi199329 mei 2026 08:59
Dat is niet hoe het in de Nederlandse wet staat. Het is een achterlijke wet en de pakkans is nihil, maar het voor handen hebben van malware is op papier al voldoende voor een gevangenisstraf. Veel van deze tools zijn dan ook exact dat: malware die klaar is om te gebruiken.
Reageer
Remzi1993 @GertMenkel29 mei 2026 12:31
Dat is niet hoe het in de Nederlandse wet staat. Het is een achterlijke wet en de pakkans is nihil, maar het voor handen hebben van malware is op papier al voldoende voor een gevangenisstraf.
En dat geldt wereldwijd neem ik aan? Dan is het een beetje een dode wet, want er zijn genoeg dingen op GitHub te vinden voor echt educatieve doeleinden en "educatieve doeleinden". Dus een Duitser of Rus die iets op GitHub zet die is dus voor de Nederlandse wet strafbaar? Nu snap ik waarom de politie zo weinig doet in Nederland met zulke moeilijk uitvoerbare en idiote wetten (een cynisch grapje - moet tussendoor kunnen). Dat is dus niet echt te handhaven.

[Reactie gewijzigd door Remzi1993 op 29 mei 2026 12:32]

Reageer
FreezeXJ @GertMenkel28 mei 2026 22:18
Wat er in de voorwaarden staat negeer ik volkomen, de meeste zijn botweg niet rechtsgeldig in de EU, maar staan er wel in. De Nederlandse wet beschermt je beter dan grote bedrijven, dus daar zoek ik liever in. Dat maakt alsnog het 'hacken' van andermans spullen (cloud dus) illegaal, maar rondpoken in je eigen-gekochte spullen (en nee, ik weet dat je alleen een gebruikslicentie koopt, geen eigendom van code) mag wel. Als ik een fiets koop mag ik em ook gewoon uit elkaar halen, en er zelf een ander zadel opzetten. Software installeren op mijn eigen systeempje en daarmee rondvliegende bits analyseren mag volgens mij ook gewoon, en zo lang ik er niks commercieels mee doe verwacht ik ook geen problemen. (Noot: ik ben geen jurist, dit is geen advies, en net zoveel waard als je me ervoor betaald hebt)

Dat MS nu loopt te pruttelen dat hun eigen programma niet goed werkt zie ik vooral als zwaktebod, hackers vinden het onvoldoende, en de genoemde hacker heeft blijkbaar nog wat extra issues met MS. Gezien hun voorliefde voor procedures, en het botweg afschieten van elke communicatie die niet exact volgens de gewenste procedure verloopt snap ik dat uitstekend. Hij maakt desondanks wel zijn bevindingen openbaar, zodat ze netjes gefikst kunnen worden, in plaats van ze per opbod te verkopen.
Reageer
TheekAzzaBreek @latka28 mei 2026 21:42
Vind je zero-day exploits publiceren ok dan? Ik vind dat creimineel.
Reageer
Skit3000 @TheekAzzaBreek28 mei 2026 22:05
Ik denk dat niet publiceren en onderhands verkopen wellicht nog crimineler is? Als iemand een zero-day exploit publiceert dan is er natuurlijk een (groot) risico op misbruik, maar tegelijkertijd is ook voor iedereen duidelijk (inclusief de ontwikkelaar) dát er iets staat te gebeuren en zal iedereen zsm op zoek gaan naar een degelijke oplossing.
Reageer
ZinloosGeweldig @Skit300028 mei 2026 22:59
Ik denk dat niet publiceren en onderhands verkopen wellicht nog crimineler is?
Ja en voor criminaliteit krijg je met een openbaar aanklager te maken niet met een civiele zaak.

Als je de blog van de, niet geheel mentaal stabiel overkomende, beste man leest zie je expliciet uitgesproken de intentie om Microsoft schade toe te brengen met deze gang van zaken.
Reageer
Vexxon @Skit300028 mei 2026 22:19
Wat een kul. Als dat zij motivatie was dan had ie natuurlijk nooit deze weg gekozen.

Als de buurman dr sleutels in zijn voordeur laat zitten bel ik aan en maak ik daarop attent. Ik ga niet hardop schreeuwen dat er hier sleutels nog in de deur zitten en dat je zijn huis leeg kan roven. 8)7
Reageer
CAPSLOCK2000
@Vexxon29 mei 2026 05:57
Wat een kul. Als dat zij motivatie was dan had ie natuurlijk nooit deze weg gekozen.

Als de buurman dr sleutels in zijn voordeur laat zitten bel ik aan en maak ik daarop attent. Ik ga niet hardop schreeuwen dat er hier sleutels nog in de deur zitten en dat je zijn huis leeg kan roven. 8)7
Als je begint met schreeuwen dan geef ik je gelijk. Maar laat ik nu een iets ander scenario presenteren:

Je woont in een appartementencomplex en op een dag zie je dat de concierge z'n sleutelbos met lopers in de voordeur heeft laten steken. Niet alleen de concierge loopt gevaar maar ook, of zelfs juist, alle bewoners.

Je wijst de concierge daar een paar keer vriendelijk op maar die reageert niet en loopt steeds weg met een opgeheven middelvinger. Na maanden van proberen om netjes te communiceren wordt je op eens uit je huis gegooid. Ondertussen steken de sleutels nog steeds op de voordeur en lopen de dieven in en uit. Sterker nog, in de tussentijd heb je nog 5 andere sleutelbossen gevonden.

Ja, dan snap ik dat je die sleutels uit het slot trekt en uit het raam op straat gooit. Dat is beter dan de sleutels in de voordeur te laten steken.

[Reactie gewijzigd door CAPSLOCK2000 op 29 mei 2026 06:00]

Reageer
segil @CAPSLOCK200029 mei 2026 08:34
dat is geen goede vergelijking Capslock. Want in jouw voorbeeld zou deze hacker dus de zogenoemde vulnerablity moeten hebben gepatched. Een betere analogie zou zijn dat jij een kopie maakt van de sleutels en deze op straat gooit met het adres van de woningen erbij.
(fysieke producten vergelijken met software gaat in dit soort vergelijkingen vaak mank, maar dat terzijde)
Reageer
CAPSLOCK2000
@segil29 mei 2026 08:38
Zo'n analogie gaat nooit helemaal op, het punt dat ik vooral probeer te maken is dat het niet zo is dat deze persoon vanuit het niets deze lekken publiceert. Hij is maanden, zo niet jaren, met MS in gesprek geweest en (volgens hem) slecht behandeld en niet serieus genomen.

Nu er actief misbruik gemaakt wordt van de gaten heeft hij besloten trammelant te maken zodat de slachtoffers in ieder geval weten dat er iets aan de hand is.
Reageer
Vexxon @CAPSLOCK200029 mei 2026 17:04
Allemaal leuk en aardig maar ik lees volgens mij nergens terug dat de hacker Microsoft meerdere malen geattendeerd heeft op deze bugs. Dus de conciërge is nooit vriendelijk benaderd over dit probleem zo lijkt het en heeft dus nooit de kans gehad de sleutels uit het slot te halen en de middelvinger is ook nooit getoond.
De hacker heeft ogenschijnlijk persoonlijke wrok tegen Microsoft en publiceert daarom zonder vroegtijdige vermelding proof-of-concepttools om de kwetsbaarheden in Windows Defender te misbruiken.

[Reactie gewijzigd door Vexxon op 29 mei 2026 17:06]

Reageer
Skit3000 @Vexxon28 mei 2026 23:54
Of je roept heel hard "Buurman, je sleutel zit nog in de deur" en dat wordt toevallig opgepikt door een voorbijganger (die daarna het huis leeg rooft).

En ik zeg niet dat deze man die zero-days had moeten publiceren, maar dat de schade zo waarschijnlijk beperkter is dan wanneer hij ze stiekem had doorverkocht.
Reageer
lenwar
@Skit300029 mei 2026 11:23
Ik denk niet dat je daar hard een uitspraak over kunt doen. Het verschilt waarschijnlijk per kwetsbaarheid. De ene is de andere niet, en het verschilt per organisatie hoe makkelijk het uit te buiten is.

Het is gewoon 'fijn/netjes' om je bevindingen bij de softwaremaker te melden, en die de tijd geven te geven, het te fixen. Die softwaremaker zal jou echt wel credits geven voor het aan melden. (en als die softwaremaker dat niet doet, dan is het een eikel ;))
Reageer
Skit3000 @lenwar29 mei 2026 13:06
Mee eens hoor.
Reageer
Blokker_1999
@kuurtjes29 mei 2026 07:07
YellowKey kan als veel dingen aanzien worden, maar als je eenmaal doorhebt hoe het werkt, dan is het wel een idiote backdoor, want het is een wonder dat het nu pas boven water komt. Daarbij moet je je afvragen waarom MS er voor gekozen heeft om in Win11 RE autofstx wel uitvoert terwijl het dat bij Win10 RE en ouder niet deed.

Dat lijkt mij toch echt een gevalletje van een probleem te willen oplossen zonder de gevolgen ervan correct in te schatten.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@kuurtjes29 mei 2026 07:49
Nee, de persoon die het publiceert hint / schreeuwt backdoor. Sommige mensen gaan daar in mee. De rest van de wereld classificeren het als een bug. Er is alle reden om dat laatste aan te nemen. Zo is bv Windows 10 niet kwetsbaar ondanks de zelfde RE.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@D.nukem29 mei 2026 09:16
Je doet nogal wat insinuaties. Waaruit blijkt dat deze fout er bijna actief in gehouden is? Kan het zijn dat het goed repareren lastiger is dan sommige andere bugs? Niet elke fix komt even snel. Je moet testen maar ook alle mogelijkheden op uitbuiten onderzoeken en dichten op een dermate manier dat je bv niet even snel een disk in een ander device kan doen; een bestand kan terugplaatsen en weer aan de gang kan. De RE is doorgaans niet bitlocker encrypted.

De kans dat dit een backdoor is acht ik persoonlijk kleiner tot max even groot dan de kans op gewoon een bug. Dat laatste licht echt meer voor de hand.

[Reactie gewijzigd door Bor op 29 mei 2026 09:16]

Reageer
Kees BOFH @TheekAzzaBreek29 mei 2026 07:48
Vind je zero-day exploits publiceren ok dan? Ik vind dat crimineel.
Hij kan ze ook stilhouden en doorverkopen aan de hoogste bieder. Die bieden op dit moment tot 1,5M voor de juiste exploits op windows.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Kees29 mei 2026 21:15
Alternatief is wel gewoon de moral road te bewandelen en je aan responsible disclosure houden. Vergeet niet dat we hier maar een (erg vocale) kant van het verhaal horen.
Reageer
Guru Evi @TheekAzzaBreek29 mei 2026 00:19
Waarom is het crimineel. Daarnaast is Microsoft al lang bekend om exploits te negeren totdat ze publiek worden. Responsible disclosure is een richtlijn, geen wet, dit is in gang gekomen toen Google en co begonnen geld uit te geven voor exploits mits je die richtlijnen volgden, en meerdere kritieken zeiden toen al dat dit mishandeld kon worden. Microsoft is dit proces ondertussen al lang aan het mishandelen met sommige exploits die maanden indien niet jaren achtergehouden worden onder het mom van responsible disclosure. Als je oa. Black Hat USA, DefCon etc volgt, zie je wel vaker dat toespraken over bepaalde onderwerpen uitgesteld of afgezegd worden, ik herinner me dat oa. Bitlocker en AD exploits al voor 2 of 3 conferences uitgesteld waren en toen nog kregen we vorig jaar maar deeltjes.
Reageer
Blokker_1999
@Guru Evi29 mei 2026 07:03
Ik zie elke maand in de release notes van Patch Tuesday heel wat bugfixes passeren die niet gerelateerd zijn aan gekende exploits. Het is natuurlijk eenvoudig om te zeggen dat een bug gemeld is en dat MS ze niet oplost. En ja, dat zal soms wel eens gebeuren omdat de bug een lage prioriteit krijgt. Maar zonder meer inzicht kan je daar toch geen uitspraken over doen?

Responsible disclosure is op zich ook een heel stuk ouder dan bug bounty programmas. Die bug bountys helpen wel bij het stimuleren van onderzoekers om een bug te melden in plaats van de exploit te verkopen op de zwarte markt.
Reageer
Guru Evi @Blokker_199929 mei 2026 12:51
Zoals elders al gezegd, Microsoft lost vaak stilletjes problemen op die gemeld zijn door onderzoekers en daarna zeggen ze dat ze die zelf gevonden hebben of de exploit niet geldig was voor een of andere reden om niet uit te betalen.

Bug bounties kwamen eerst, 20-30 jaar geleden waren de meeste “onderzoekers” (toen noemden we ze hackers in de originele zin van het woord, en hackers hadden een goede connotatie in de industrie) gewoon de bugs aan het aankondigen voor hun eigen status en werk te tonen. Dit was geen probleem voor de open source community, echter Microsoft stond er vaak verlegen bij te kijken, vooral met ME en dan XP bleek het dat Windows lekte als een zeef om zich op het Internet te bevinden. Het was op een moment zo slecht dat als je de originele media gebruikte om je Windows te herinstalleren (iets wat je bijna elk kwartaal bijna moest doen) binnen 3 minuten (voordat je patches binnen waren) de machine al gehackt was.

Toen begonnen hackers zich ook commercieel aan te bieden want Windows had betere anti-malware nodig (tot dan toe een lijstje met programma’s die slecht waren) en daarmee kwamen ook de eerste commerciële malware groepen.

Daarmee dat grote bedrijven druk begonnen uit te oefenen op “hackers”, initieel was de vraag van de Microsoft en Googles van de wereld of ze zich zouden binden aan de commerciële sector en via o.a. McAfee of Symantec te werken om bugs te ontsluiten. Er zat echter meer geld in de nieuwe malware groepen, waardoor Google was de eerste die begon met “aanvaardbare” bug bounties en iedereen volgde.

[Reactie gewijzigd door Guru Evi op 29 mei 2026 12:55]

Reageer
timeraider @TheekAzzaBreek28 mei 2026 23:15
Forceerd bedrijven om beter op te letten. Dus nee, vind dat niet crimineel.
Reageer
TEAser_ @TheekAzzaBreek28 mei 2026 23:29
Misschien moet Microsoft haar software dan maar Opensource maken zodat de Zero day exploits nog sneller gevonden kunnen worden :9~
Reageer
mjtdevries @TEAser_29 mei 2026 16:09
Dan heb je de afgelopen weken niet erg opgelet.
Reageer
DeeD2k2 @latka28 mei 2026 21:48
Er bestaat geen software zonder fouten. Een goede ontwikkelaar zorgt voor een acceptabel risico bij het uitbrengen om vervolgens zijn best te doen de kwaliteit te verhogen.

Hacken is een leuke hobby (of baan) maar is in de basis strafbaar op de meeste plekken. Dat maakt responsible disclosure een mooi systeem. Hackers kunnen hun ding doen. Door het volgens een paar regels te melden worden ze niet vervolgd en krijgt de software leverancier de kans zijn product te verbeteren zonder risico te lopen. Een win-win situatie.

Kortom: deze regel zorgt voor betere software en een positieve kans voor hackers.
Reageer
wiseger @DeeD2k228 mei 2026 22:04
Je eigen systeem hacken is niet strafbaar. Dat mag je in Nederland gewoon doen. Praten over een beveiligingsprobleem is ook gewoon toegestaan. Dus heb je als snel een grijs gebied.

De regels van Microsoft leiden regelmatig tot onenigheid. Met name als de onderzoekers geen erkenning krijgen en hun premie mislopen.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@wiseger29 mei 2026 11:05
Dat is niet alleen zo bij Microsoft maar bij veel bedrijven, waaronder diverse grote namen. De regels waaronder een premie wordt uitgekeerd zijn soms onduidelijk en vaak voor interpretatie vatbaar. Dat leidt meer dan eens tot teleurstelling en discussies.
Reageer
lenwar
@wiseger29 mei 2026 11:34
Je eigen systeem hacken is niet strafbaar. Dat mag je in Nederland gewoon doen. Praten over een beveiligingsprobleem is ook gewoon toegestaan.
Zeker waar. Maar het wordt natuurlijk al snel grijs als je doelbewust een groot probleem openbaar maakt. Dat is minimaal niet netjes :) (maar goed. De wetgever zegt ook niet dat je altijd netjes moet zijn.) Maar de gevolgen ervan kunnen heel groot zijn.

Als (scheve?) vergelijking: De Damschreeuwer van een tijdje terug.

Je bent niet wettelijk verplicht om met dodenherdenking stil te zijn. Je mag in principe op straat schreeuwen. Toch is hij veroordeeld. Op basis van artikel 142 SR:
Hij die opzettelijk door valse alarmkreten of signalen de rust verstoort, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie.
Wat de betreffende personen hebben gedaan is het doelbewust publiek maken van een ernstige software bug. Daar is vast een één of andere wet voor bedacht die daaraan geschaard kan worden :). Maar goed. Dit is waarschijnlijk een rechtszaak voor in de VS. En hoe de wetten daar zijn kan ik niet inschatten.
Reageer
latka @DeeD2k229 mei 2026 02:01
Hacken strafbaar maken is dom en kortzichtig: het zorgt er voor dat alleen nation-state en well-funded criminelen er mee weg komen. Hacken an sich is niet strafbaar. Het inzetten om je te verrijken wel. Responsible disclosure is een methode om de regie over een bug in handen te houden. Daar mag wat tegenover staan en is nooit een verplichting.

(ik spreek niet over USA wetgeving want daar is scheel kijken naar de president tegenwoordig al strafbaar. Maar dat nemen we dan ook gewoon niet heel serieus).
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@latka29 mei 2026 09:35
Hacken an sich is niet strafbaar.
Hacken valt onder computervredebreuk. Dit is een misdrijf dat strafbaar is gesteld in artikel 138ab van het Wetboek van Strafrecht.

Zelfs als je goede bedoelingen hebt, zoals het aantonen van beveiligingslekken, kan hacken in de basis strafbaar zijn. Het OM kan besluiten om niet te vervolgen als je je netjes houdt aan de zogeheten Coordinated Vulnerability Disclosure (responsible disclosure) richtlijnen.

Nuances: https://veiliginternetten.nl/hacken-strafbaar/

We hebben het hier dan niet over hacken van eigen systemen of in opdracht van de eigenaar.

[Reactie gewijzigd door Bor op 29 mei 2026 09:40]

Reageer
latka @Bor29 mei 2026 12:24
Dat is computervredebreuk inderdaad. Dat is het toepassen van een hack.
Reageer
CAPSLOCK2000
@DeeD2k229 mei 2026 05:39
Er bestaat geen software zonder fouten. Een goede ontwikkelaar zorgt voor een acceptabel risico bij het uitbrengen om vervolgens zijn best te doen de kwaliteit te verhogen.
Maar over wat een "acceptabel risico" is valt nog wel het een en ander te zeggen. Foutloze software bestaat inderdaad niet, maar zijn wel grote kwaliteitsverschillen. In de de luchtvaart gaan ze heel anders met software om. Je zou kunnen zeggen dat ze daarom 20 jaar achter lopen, maar als het om veiligheid gaat lopen ze voorop. Het is maar net waar je de balans zoekt tussen veiligheid en ontwikkelsnelheid.
Hacken is een leuke hobby (of baan) maar is in de basis strafbaar op de meeste plekken.
Actief hacken wel, maar informatie geven over een lek is toch nog wat anders dan er actief misbruik van maken.
Dat maakt responsible disclosure een mooi systeem. Hackers kunnen hun ding doen.
Op zich wel, maar ieder bedrijf heeft z'n eigen systeem en z'n eigen regeltjes. Die zijn echter geen wet en het is niet verboden om security informatie te delen buiten het responsible disclosure systeem om.

Dat moet ook wel want anders bestaat het gevaar dat responsible disclosure wordt ingezet om mensen de mond te snoeren en te bedreigen omdat ze een of ander huisregeltje hebben overtreden.

Dat lijkt hier ook de achtergrond te zijn. Deze onderzoeker heeft al wat geschiedenis met MS en is boos dat z'n vorige security meldingen niet serieus zijn genomen en hij steeds met een kluitje in het riet is gestuurd om maar niet te hoeven betalen.
Reageer
DeeD2k2 @CAPSLOCK200029 mei 2026 21:41
Kwaliteit
Gelukkig zijn er kwaliteitsverschillen. Als alles aan dezelfde standaarden moet voldoen als in de luchtvaart, zouden we zelden nieuwe games of tools hebben. Omgekeerd zou niemand meer durven (en terecht!) vliegen.

Acceptabel risico is een combinatie van plichten vanuit de wet, beoordeling vanuit inspectie en risicobereidheid van de eigenaar (organisatie of gebruiker). Bij thuisgebruik is het in mijn ogen vooral een keuze van jezelf of je de kwaliteit van de software goed genoeg vind. Naast functionaliteit zegt dat ook hoeveel bugs je vind dat er in software mag zitten.

Daarom begon ik hierover in reactie op @latka 's eerste comment: als iemand vind dat Microsoft "defecte software met bugs" levert kan je te straffen door het niet te kopen/geen abonnement bij ze af te sluiten. Behalve as de ze software verkopen als "gegarandeerd bug-vrij"; als dat niet zo blijkt te zijn, is een rechtszaak op zijn plaats. Maar hun software wordt zo veel aangeschaft dat ik niet anders kan oordelen dan dat ze voor de meeste mensen en organisaties voldoen aan de verwachtingen.

Hacken
Over het algemeen wordt "hacken" gezien als "inbreken in andermans computer" en is strafbaar. Politie.nl Politie.be CBS Kaspersky Wikipedia

Ik sluit me bij jou en @latka aan dat je ook een hack kan vinden zonder in te breken. Responsible disclosure zorgt echter voor meer mogelijkheden om verantwoord een hack te vinden. Dat is bij de gratie van de organisatie haar beleid. Maar als een organisatie zo'n beleid heeft, zegt dat in ieder geval dat ze je niet altijd aanklagen.

De markt zal uitwijzen of ze bij een leverancier goed genoeg omgaan met dit beleid. Als ze te vaak slecht in het nieuws komen door hun beloningen (of het uitblijven daarvan), zal er vanzelf minder gemeld worden met als gevolg minder input om de kwaliteit te verhogen.
Reageer
sapphire @latka28 mei 2026 21:42
Ja laten we alle software met bugs als defect bestempelen en vervolgen dat zal een puinzooi worden aangezien er vrijwel geen software is zonder bugs…..
Reageer
jeroen3 @sapphire28 mei 2026 21:45
Misschien dwingt dat de software developers orde op zaken te stellen? Als je hardware levert met bugs moet je alles terugroepen.

[Reactie gewijzigd door jeroen3 op 28 mei 2026 21:45]

Reageer
Niema @jeroen328 mei 2026 21:52
Zover ik weet riep Nintendo zijn pre 2017 switches niet terug ondanks een hardware exploit en intel zijn spectre gevoelige processoren zijn ook niet teruggestuurd
Reageer
nzall @Niema28 mei 2026 21:58
Inderdaad. En Intel heeft ook niet hun zichzelf kapot roestende 13e en 14e gen teruggeroepen. En Nvidia doet nog steeds niets aan hun smeltende connector, en blijft dat defect op user error steken. En Asrock heeft ook geen bordjes teruggeroepen die Ryzen 9000 CPUs mollen.
Reageer
Apiekool @jeroen328 mei 2026 21:48
En dat doen ze dus, door security updates en patches aan te bieden.

Zoals gezegd, er is geen software zonder bugs.
Reageer
TEAser_ @Apiekool28 mei 2026 23:31
Klopt, maar bij Windows is het wel een iets groter probleem dan alleen een paar bugs, er worden gigantische grote fouten gemaakt.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@TEAser_29 mei 2026 08:17
Dit is relatief en in the eye of the beholder. Daarbij is dit relatief of zijn we de lekken in Linux van de laatste tijd vergeten? Ook daar zien we grote en gevaarlijke bugs voorbij komen net als bij alle andere software; ook producenten als Apple hebben hier (natuurlijk) last van.

Een OS als Windows is grote en complexe software. Hoe groter en hoe complexer hoe meer kans op fouten.
Reageer
Vexxon @jeroen328 mei 2026 22:20
Omdat hardware niet te fixen is op afstand misschien en software wel?
Reageer
SuperDre
@jeroen329 mei 2026 01:56
Software schrijven zonder bugs is bijna niet mogelijk, in ieder geval niet als je grote applicaties en van boven tot de onderste laag gaat kijken. De compiler/framework kan bugs hebben die jij als developer niet zomaar kunt oplossen, en soms werk je dan om zo'n bug heen, maar gaat het daarna fout als de leverancier die bug oplost en jouw omleiding in de weg zit. Of iets dat juist in jouw software op het moment van leveren gewoon werkt, maar de OS-/driver fabrikant past iets aan waardoor jouw software in de soep loopt.

En genoeg hardware met bugs die niet teruggeroepen worden. Heel veel meer dan jij denkt.
Reageer
R_Zwart @jeroen328 mei 2026 22:23
Misschien dwingt dat de software developers orde op zaken te stellen? Als je hardware levert met bugs moet je alles terugroepen.
Hoe heb jij orde op zaken gesteld waardoor jij altijd perfecte software levert? Of ben je zo'n stuurman op de wal?
Reageer
Guru Evi @R_Zwart29 mei 2026 00:29
GNU Core Utilities: Fundamentele commando’s zoals ls (directory-inhoud weergeven - ~5000 lijnen code), cat (bestanden samenvoegen en tonen), mkdir, rm en mv hebben een vlekkeloze beveiligingsgeschiedenis.

find: Dat wordt gebruikt om bestanden te zoeken binnen een directory structuur.

Let wel dat we hier de C-programma's bedoelen, het Rust alternatief voor Coreutils hebben al 44 CVEs, deel ervan in ls, rm en mv.

Vergelijk met grep, de laatste grep CVE is ~20 jaar oud en dat brengt het totaal op 2, voor wat in principe een volledige vm draait voor string parsing (~9000 lijnen code)

[Reactie gewijzigd door Guru Evi op 29 mei 2026 00:34]

Reageer
Blokker_1999
@Guru Evi29 mei 2026 07:11
En dan hebben we het dus over heel eenvoudige command line utilities die zo oud zijn dat ze mede door hun ouderdom geen fouten meer bevatten. Maar vertaal dat nu eens naar een volledig, modern OS. Je zit niet ineens meer aan enkele duizenden lijnen code die in essentie amper tot geen afhankelijkheden hebben, maar je zit ineens met miljoenen lijnen code waarbij heel wat interactie tussen applicaties en bibliotheken bestaan.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Blokker_199929 mei 2026 09:32
Laten we eens breder kijken. @Guru Evi haalt Linux tools aan maar vergeet het recente nieuws lijkt het. Dan kom je o.a. uit op dit soort zaken: review: Gaten in het hart van Linux: vijf vragen over snel opeenvolgende kern...

De vergelijking tussen oude utilities / commandline tools en een compleet OS als Windows gaat volledig mank. Appels en peren.

Ook niet helemaal eerlijk maar om het even in context te plaatsen:
~5000 lijnen code
Windows:

Windows bevat naar schatting 50 tot 85 miljoen regels code, afhankelijk van de precieze versie (zoals Windows 10 of 11).
Reageer
jeroen3 @R_Zwart29 mei 2026 06:21
Nee ik doe er helaas zelf aan mee. De druk is hoog. Er wordt gewoon heel slordig gewerkt. Want we hebben allemaal geaccepteerd dat dagelijks updaten normaal is.
Dat zou niet normaal moeten zijn.
Reageer
lenwar
@jeroen329 mei 2026 11:20
Als je hardware levert met bugs moet je alles terugroepen.
Ja, hardware patchen gaat een beetje rottig :) . Als het op een betrouwbare manier met een firmware-update kan, wordt het echt wel op die manier gedaan.
Reageer
latka @sapphire29 mei 2026 01:56
Laten we in ieder geval niet doen alsof melden via een bepaald kanaal heilig is en de enigste route naar veilige software. Dat MS vind dat je volgens een bepaald protocol moet melden zodat zei de regie in handen hebben is een probleem wat ze zelf gemaakt hebben door meer tijd te steken in een half veranderd settings scherm ipv. de software veiliger maken. Bugs zijn niet te voorkomen. Normaal reageren ipv. spastisch met advocaten zwaaien is 100% te voorkomen.
Reageer
mjtdevries @latka29 mei 2026 16:04
Laten we in ieder geval niet doen alsof Microsoft vindt dat melden via een bepaald kanaal heilig is en de enigste route naar veilige software.

Het is algemeen aanvaardt in de software wereld dat je een bug eerst bij de fabrikant meld zodat die de tijd krijgt om het te fixen en je niet meteen voor heel veel klanten een groot security risico maakt.

Als iemand daar niet aan mee wil doen maar heel bewust de gemeenschap in gevaar brengt, dan is het volledig terecht dat Microsoft daar wat over zegt. En bewust de gemeenschap in gevaar brengen vind ik ook wel voldoende reden om te kijken of dat zwaarder aangepakt kan worden.

Als jouw auto per ongeluk benzine lekt en er komt dan een idioot aanrennen met lucifers om de boel in de fix te zetten, dan ga je ook die idioot aanklagen.
Reageer
mjtdevries @latka29 mei 2026 16:16
Nee, windows is niet lek.

Elk OS heeft bugs en elke fabrikant doet zijn best om die zo snel mogelijk op te lossen.
Anders zou ik hier ook (zeker na de afgelopen paar weken) kunnen roepen Linux is lek. Jij weet dat en ik weet dat.

Windows is niet meer het windows van 30 jaar geleden waar jij en ik mee zijn opgegroeid.
Reageer
latka @mjtdevries29 mei 2026 19:11
Windows is lek, linux is lek. Hoe je er mee omgaat is mij grootste probleem met ms op dit moment.
Reageer
ymmv @latka28 mei 2026 21:50
Da's de wereld op zijn kop.

Het ging er om dat die hacker MS in zijn geheel niet op de hoogte stelde en gewoon die kwetsbaarheden patsboem openbaar maakte zonder dat er een lapmiddel was om het gat te dichten. Geweldig voor kwaadwillende hackers, heel vervelend voor de rest van de wereld. Die persoon berokkent zo willens en wetens economische en maatschappelijke schade en dat mag je hem echt aanrekenen. Wat mij betreft mag MS hem juridisch aanklagen.
Reageer
Durandal @ymmv28 mei 2026 22:19
Ze kunnen economische schade claimen en daar blijft het wel bij. Maar of dat resultaat heeft is de vraag, want de hacker heeft de bug niet gemaakt, slechts geopenbaard (als dat woord al van toepassing is want de code was al openbaar beschikbaar), en ze moeten ook nog eens duidelijk maken wat de schade dan is en hoe die direct is veroorzaakt door de hacker.
Aanklagen moet door justitie gebeuren en die maakt zef de afweginging.
Reageer
latka @ymmv28 mei 2026 23:55
Wat een onzin. Als ik een cursus lockping op YouTube zet om aan te tonen dat masterlock waardeloze sloten maakt ,(de lockpicking lawyer) of vertel dat je door harder het gaspedaal in te drukken je sneller kunt dan de maximum snelheid ben je ook niet strafbaar. Maar omdat je ms het is niet veilig krijgt zou het strafbaar zijn om dat te publiceren. Dat is de wereld op zijn kop.
Reageer
Vexxon @latka28 mei 2026 22:17
Wat hij doet is natuurlijk niet zomaar ‘op de verkeerde wijze melden’, alsof het per ongeluk is. Deze persoon doet dit doelbewust, waardoor veel systemen een groter risico lopen.

Hoe je het ook went of keert, ieder software systeem heeft dit soort bugs, echt allemaal.
Reageer
R_Zwart @Vexxon28 mei 2026 22:25
Niet de software die de "experts" op dit forum maken [/S]
Reageer
latka @Vexxon28 mei 2026 23:58
I know. Ik bouw software. Maar de wijze waarop ms er mee omgaat is nogal spastisch: ze maken een super complex os wat voornamelijk als application launcher gebruikt wordt. Als ze de tijd die ze steken in het verplaatsbaar maken van de taakbalk steken in security zaken en de legal afdeling vervangen met een qa afdeling en een stapel security mensen zou ik zeggen: goed bezig. Nu is het gewoon zielig.
Reageer
R_Zwart @latka28 mei 2026 22:22
Bugvrije software bestaat niet. Op basis van wat jij zegt kan je alle softwarebedrijven gaan vervolgen.
Reageer
latka @R_Zwart29 mei 2026 00:01
Ja. Ik bouw software. Ik weet dat bugs onvermijdelijk zijn. Maar je kunt ook je best doen het veilig te maken ipv. Ntlm nog 20 jaar lang in je os houden terwijl iedereen weet dat dat niet veilig is. Er is een verschil tussen je verantwoordelijkheid nemen en zorgen dat het beter wordt versus je legal afdeling activeren en fingerpointen. Zeker als je miljarden winst maakt.
Reageer
Yellowflight @latka28 mei 2026 23:13
Idd, de omgekeerde wereld...
Reageer
Blokker_1999
@latka29 mei 2026 07:00
Als het leveren van software met bugs altijd strafbaar was, dan zou niemand nog software schrijven, want het is nagenoeg onmogelijk om complexe software te schrijven zonder fouten er in.
Reageer
Daoka @latka28 mei 2026 21:55
Het is niet een compleet goede vergelijking maar zie het een beetje als dit. Stel wij zijn buren. Ik zie bij jouw dat een crimineel inbreek en een paar minuten later kom jij thuis. Ik denk dat het netjes zou zijn als ik je waarschuw voordat je naar binnen gaat zodat actie kan ondernemen. Zoals jij het nu zeg zou ik dus niets hoeven doen (omdat ik je haat) en jou de schuld geven dat je beveiliging niet goed genoeg was om de crimineel buiten te houden. Beetje verkeerde wereld.

Als de perfecte beveiliging mogelijk was denk ik dat Microsoft dit graag had gedaan. Juridische stappen gaat misschien wel te ver maar
De hacker heeft ogenschijnlijk persoonlijke wrok tegen Microsoft
Als je dus (de reputatie van) een bedrijf probeert te beschadigen (ook al is het misschien op een legale manier) dan snap ik ook wel dat er acties ondernomen wordt.
Reageer
Lord Anubis @Daoka28 mei 2026 22:27
Zou het anders beschrijven. Je ziet een gewone man in zijn voortuin en jij die net langs de achtertuin liep keihard roept naar hem zodat de hele buurt het kan horen dat zijn achtdeur open staat en beter dicht kan doen.
Reageer
Thonz @Lord Anubis29 mei 2026 06:44
De link naar de webshell was niet publiek bekend en niet openbaar gedeeld.

Niemand heeft geroepen dat de achterdeur open stond.
Reageer
latka @Daoka29 mei 2026 07:50
Het is eerder de buren die de ene week het raam open laten staan, de andere keer de voordeur en als je er wat van zegt bellen ze politie om te laten arresteren ipv. Dankjewel zeggen.
Reageer
Daoka @latka29 mei 2026 13:56
Hoezo de ramen en deuren open laten? Daar kan iedereen doorheen. Er zal maar een klein aantal mensen zijn die deze bug zouden kunnen vinden. Dan kan je net zo goed de bank (of welke bedrijf dan ook) de schuld geven als ze beroofd worden dat hun beveiliging niet goed genoeg was.
Reageer
latka @Daoka29 mei 2026 16:14
Die tijd is wel geweest: state actors met teveel geld en middelen doen dit al. Nu met de komst van llms is het nog eenvoudiger voor reguliere gebruikers. Het idee dat zolang het niet gevonden is je veilig bent is niet van deze tijd.
Reageer
Daoka @latka29 mei 2026 17:25
Ik zeg niet dat je niet veilig ben maar wel dat niet iedereen dit zo maar vindt. Ja met llm kan het makkelijker worden maar dan nog zie ik niet iedereen dit zo maar doen. Mijn ouders kunnen amper een login maken op een website laat staan dit. Misschien dat ze het kunnen nadoen als je video zou maken die PRECIES doet wat ze moeten doen (inclusief zeggen hier dubbel / rechts klikken) maar zelfs dat betwijfel ik. Dus nee ik zie het niet als een open deur.
Reageer
mjtdevries @latka29 mei 2026 16:25
Het is niet dat de ze politie bellen omdat jij er wat van zeg. maar omdat jij bij honderden huizen in de buurt een foldertje in de bus hebt gedaan dat ze steeds ramen en deuren op laten staan en dat iemand makkelijk kan inbreken op dat adres.
Reageer
Azbest 28 mei 2026 21:50
Dat Gitlab ook meteen Nightmare-Eclipse zijn account in de ban deed is voor mij het meest nieuwswaardig.

Codeberg dan maar?
Reageer
Loller1
@Azbest28 mei 2026 22:17
Of... misschien is deze persoon gewoon helemaal niet goed bezig en heeft dit probleem niets met de service zelf te maken.
Reageer
Azbest @Loller128 mei 2026 23:03
Dat is een reactie op MS omdat ze op verschillende manieren security researchers proberen uit te buiten:

YouTube: dude wtf

Gitlab lijkt naar mijn insziens geen betrouwbare partner door direct over te gaan op een ban.
Reageer
Durandal @Azbest28 mei 2026 22:23
Gek, want de hacker maakt een nieuw account aan, en staat gelijk niet meer in de spotlight.
Reageer
[Remmes] 28 mei 2026 21:54
Uit Twitter reacties blijkt dat vele anderen ook zijn "belazerd" door Microsoft, ze melden de bug maar krijgen daar dan niks voor omdat het blijkbaar niet te erg genoeg is, maar de bug word wel gepatched.
Reageer
ShadowBumble @[Remmes]28 mei 2026 22:01
Inderdaad Microsoft heeft nu niet echt een goede reputatie wat betreft responsible disclosures als je even rondkijkt in de Bug Bounty wereld.

Het is het verleden al een aantal keer aantoonbaar geweest dat er wel via het CVD process gemeld wordt, maar dan wordt het gesloten als informatief en stil gepatched, of je krijgt helemaal geen reactie en dan wordt het stil gepatched.

[Reactie gewijzigd door ShadowBumble op 28 mei 2026 22:02]

Reageer
R_Zwart @[Remmes]28 mei 2026 22:26
Dan zullen ze ongetwijfeld verwijzen naar de voorwaarden op basis waarvan ze claimen dat ze beloond moeten worden.
Reageer
Blokker_1999
@[Remmes]29 mei 2026 07:14
En waarom zou de ontdekker van de bug de klassering van de bug moeten kunnen bepalen? Je gaat hier zo vaak een welles/nietes spelletje krijgen, en niet enkel bij MS. Wil je dat echt voorkomen? Dan moet een onafhankelijk commitee gaan bepalen wat de klassering van een bug is.
Reageer
[Remmes] @Blokker_199929 mei 2026 10:46
Omdat ontdekkers best goed kunnen inschatten hoe gevaarlijk/vatbaar iets is, daarbij het niet willen aanmaken van een CVE maar het dan wel gewoon stilletjes patchen zonder enige benoeming van wie het heeft ontdekt helpt natuurlijk niet om voor diegene de volgende keer het wel te melden. Een beetje erkenning is vaak al genoeg.
Reageer
AnD 28 mei 2026 22:08
Omdat MS zo doet zie ik zelfs een omgekeerd effect dat kan gebeuren,

mensen die iets ontdekken gaan het anoniem op het net gooien.
Reageer
HakanX 28 mei 2026 22:34
Als het niet belangrijk genoeg is om de hacker uit te betalen, waarom is het dan wel belangrijk genoeg om een rechtzaak te beginnen?
Reageer
Genosha 29 mei 2026 00:07
[...] anonieme beveiligingsonderzoeker [...] Nightmare-Eclipse [...] onlangs op GitHub en GitLab geblokkeerd. De hacker heeft ogenschijnlijk persoonlijke wrok tegen Microsoft [...]
Dat kan dus zo maar elke Linux fanaticus zijn.
Reageer
zalazar 29 mei 2026 00:49
Hoe dit allemaal is gelopen weet ik ook niet maar als iemand meld dat hij BitLocker kan omzeilen via een eenvoudige methode dan hoort daar een hoge beloning tegenover te staat. Als Microsoft dit zou downplayen naar dat het niets bijzonders is en hier heb je een aalmoes dan zou zo'n situtie wel kunnen ontstaan.

We kunnen waarschijnlijk nog wel de "One Token to rule them all" herinneren van Dirk-jan Mollema
https://dirkjanm.io/obtai...tenant-with-actor-tokens/
Dit is gelukkig wel op een normale manier afgehandeld.
Hij wilde de vergoeding niet vertellen maar de bedragen die betaald worden zijn sowieso veel te laag.
Als Dirk-jan dit in de public had gegooid of aan een hackers groep had verkocht dan had dit een zeer grote impact gehad op geheel Azure en had het gebruik van Azure op moment veel minder geweest. Ik vind zelf dat Microsoft in zo'n geval minimaal 1 miljoen moet betalen maar zo'n bedrag vind het Microsoft manmagement natuurlijk belachelijk. Zulke grote lekken moet je gewoon anders behandelen qua beloning.
Microsoft heeft meer dan genoeg geld op de bank staan.
Reageer

Om te kunnen reageren moet je ingelogd zijn